Общая информация о Kaspersky CyberTrace

Мы разработали инструмент для управления данными о киберугрозах, который позволяет упростить интеграцию потоков данных об угрозах или сторонних каналов данных об угрозах (данные из открытых источников (OSINT), коммерческие и кастомизированные пользовательские потоки) с SIEM-системой.

Kaspersky CyberTrace — платформа для управления данными о киберугрозах, которая обеспечивает ситуационную осведомленность в реальном времени и позволяет аналитикам безопасности принимать своевременные и взвешенные решения. Платформа использует постоянно обновляемые потоки данных об угрозах для обнаружения киберугроз, приоритизации предупреждений об угрозах и эффективного реагирования на инциденты информационной безопасности.

Kaspersky CyberTrace взаимодействует с любыми типами потоков аналитических данных об угрозах (потоки данных «Лаборатории Касперского», других поставщиков, данных из открытых источников или иных каналов) в форматах JSON, STIX, XML, CSV и поддерживает настроенную интеграцию со многими SIEM-системами и источниками журналов. Если в вашей среде будут обнаружены индикаторы компрометации (IoCs) из потоков, платформа автоматически отправит оповещения в ваши SIEM-системы для мониторинга, проверки и выявления дополнительных контекстуальных свидетельств текущих инцидентов безопасности.

Kaspersky CyberTrace сопоставляет поступающие в SIEM-систему события с потоками данных об угрозах, чтобы обнаружить вредоносную активность в корпоративной сети и сгенерировать собственные оповещения при обнаружении угроз.

Платформа содержит набор инструментов для аналитиков безопасности для эффективной классификации событий информационной безопасности и первоначального реагирования:

• Добавление любых пользовательских каналов в наиболее популярных форматах JSON, STIX, XML, CSV и доступно через HTTP(S), FTP(S) или TAXII. Демонстрационные потоки данных «Лаборатории Касперского» и данные из открытых источников (OSINT) доступны «из коробки».
• Расширенная фильтрация каналов на основе контекста, предоставляемого каждым индикатором, включая тип угрозы, геолокацию, частоту использования, временные метки и другое и событий журнала на основе пользовательских условий.
• База данных индикаторов с полнотекстовым поиском и возможностью поиска с использованием расширенных запросов позволяет выполнить сложный поиск по всем полям индикаторов.
• Страницы с подробной информацией о каждом индикаторе обеспечивают глубокий анализ. Полная информация об индикаторе от всех поставщиков аналитических данных об угрозах (с исключением дублирующихся данных) позволяет аналитикам обсуждать угрозы в комментариях и добавлять внутренние данные к индикатору. Если индикатор был обнаружен, будет доступна информация о датах обнаружения и ссылки на список обнаружений.
• Функция экспорта позволяет экспортировать наборы индикаторов (например, политики или списки блокировки) в формате CSV и передавать данные об угрозах между экземплярами Kaspersky CyberTrace или другими платформами анализа угроз.
• Хранение событий обнаружения упрощает мониторинг безопасности и процессы сортировки оповещений. Исходное событие из источника и полная информация об обнаружении сохраняются в базе данных для дальнейшего анализа. Список обнаружений поддерживает поиск по сохраненным данным всех обнаружений по угрозе, IP-адресу источника, имени пользователя или любому другому полю.
• Ретроспективная проверка позволяет анализировать объекты в ранее проверенных событиях с использованием последних потоков данных для поиска угроз, которые не были обнаружены ранее.
• Статистика использования потоков данных помогает выбрать наиболее ценных поставщиков аналитической информации об угрозах посредством измерения эффективности интегрированных потоков данных и построения матрицы пересечения потоков данных.
• Загружаемые отчеты со статистикой, которые полезны для информирования руководства и команд о ценности каждого источника системы анализа угроз.
• Поиск по запросу индикаторов (хешей, IP-адресов, доменов, URL-адресов) с историей поиска для углубленного изучения угроз. Также поддерживается массовое сканирование логов и файлов.
• Экспорт результатов поиска индикаторов, соответствующих потокам данных об угрозах, в формате CSV для интеграции с другими системами (межсетевые экраны, идентификаторы сети и хоста, пользовательские инструменты).
• Основанный на ролях доступ к управлению и информации об операциях, выполняемых другими пользователями. Например, только пользователи с ролью администратора могут управлять конфигурацией Kaspersky CyberTrace и просматривать результаты поиска всех аналитиков.
• Поддержка мультитенантной архитектуры позволяет реализовать сценарии использования поставщиков сервисов безопасности (MSSP) или крупных компаний, когда есть необходимость анализировать события различных клиентов или дочерних отделений по отдельности. Данная функция позволяет подключить один экземпляр Kaspersky CyberTrace ко многим SIEM-системам, установленным в дочерних или обслуживаемых организациях, и отдельно настроить потоки данных, которые должны быть использованы для каждой их них.
• REST API позволяет выполнять поиск и управлять аналитическими данными об угрозах, а также интегрировать платформу для управления данными о киберугрозах в сложные среды для автоматизации и управления.
• Интерфейс командной строки для платформ Windows и Linux.
• Поддерживается аутентификация с помощью протокола LDAP (Microsoft Active Directory).
• Автономный режим, в котором Kaspersky CyberTrace не интегрирован с SIEM-системой, но получает и анализирует логи из различных источников, например сетевых устройств.
• Поддержка интеграции с демилитаризованной зоной (DMZ). Компьютер, на котором данные о событиях сопоставляются с каналами, может быть расположен в DMZ и изолирован от интернета.

Интегрированный с SIEM-системой Kaspersky CyberTrace постоянно информирует вас о ситуациях, связанных с угрозами, с помощью:

• Настройки панелей мониторинга в SIEM-системе для отображения и приоритизации информации об IP-адресах, URL‑адресах и хешах файлов, содержащихся в событиях, которые соответствуют потокам данных об угрозах.
• Фильтрации событий обнаружения для дальнейшей отправки в SIEM-системы, что снижает нагрузку на сами системы и на аналитиков безопасности. Это позволяет отправлять в SIEM-системы только самые опасные и достоверные обнаружения, которые должны рассматриваться как инциденты. Все остальные обнаружения будут сохранены во внутренней базе данных и могут быть использованы при анализе первопричин или при поиске угроз.
• Панелей мониторинга для краткого обзора, а также более подробной информацией о соответствующих событиях.
• Определения наиболее критичных из оповещений, что позволяет принимать более взвешенные решения об их дальнейшей передаче группам реагирования.
• Улучшения и ускорения возможности реагирования на инциденты и проведения детального расследования.
• Автоматического обновления потоков данных об угрозах, чтобы они всегда были актуальными.
• Создания проактивной системы защиты на основе глобальных аналитических данных.
• Поддержания всех существующих элементов управления безопасностью в качестве источников событий (межсетевые экраны, IPS/IDS, прокси-серверы безопасности, антивирусные решения, DNS-решения, UTM и другие).

Индикаторы компрометации (IOCs) из потоков данных об угрозах не загружаются в ваш экземпляр SIEM, а обрабатываются платформой в отдельном автономном процессе, запущенном в вашей инфраструктуре. Поскольку задача сопоставления событий с большим количеством индикаторов компрометации разгружена, ваш экземпляр SIEM подвергается минимальному снижению производительности. В случае совпадения обширная контекстная информация об инциденте передается вашему экземпляру SIEM и отображается в панели мониторинга вашей SIEM-системы.

Высокоуровневая архитектура нашего решения с использованием SIEM-системы работает следующим образом:

1. SIEM-система собирает входящие события с различных систем информационной безопасности.
2. SIEM-система отправляет данные о событиях с URL-адресами, IP-адресами и хешами в платформу для управления данными о киберугрозах на анализ через сокет TCP или Unix.
3. Kaspersky CyberTrace получает события, содержащие URL-адреса, IP-адреса или хеши из SIEM-системы.
4. Kaspersky CyberTrace автоматически получает обновленные потоки данных об угрозах из инфраструктуры «Лаборатории Касперского».
5. Kaspersky CyberTrace сопоставляет наблюдаемые данные в полученных событиях с потоками данных об угрозах.
6. Если есть совпадение с потоками данных об угрозах, платформа отправляет совпадающее событие обратно в SIEM-систему, содержащую контекст из потоков данных об угрозах, и информирует администратора SIEM‑системы об инциденте безопасности. Статистика обнаружения хранится в платформе для управления данными о киберугрозах, чтобы вы могли отслеживать тенденции и выявлять аномалии в вашей сети с помощью веб-панели мониторинга.
7. Если включен режим ретросканирования, платформа сохраняет наблюдаемые данные из проверенных событий для последующего сопоставления с последними потоками данных.

Kaspersky CyberTrace дает вам преимущество в киберпространстве, так как укрепляет ваш экземпляр SIEM с помощью постоянно обновляемых индикаторов компрометации и применимого контекста, а также предоставляет информацию о кибератаках, чтобы вы могли наиболее четко понять намерения, возможности и цели злоумышленников.

Kaspersky CyberTrace доступен по всему миру. Для загрузки платформы перейдите в базу знаний потоков данных об угрозах «Лаборатории Касперского» и выберите решение, в интеграции которого вы заинтересованы. Скачать Kaspersky CyberTrace вы можете в статье. Подробнее о Kaspersky CyberTrace читайте в справке.

Для запуска Kaspersky CyberTrace в корпоративной сети или с коммерческими потоками данных требуется лицензионный ключ. Чтобы получить лицензионный ключ, создайте запрос в «Лабораторию Касперского» или обратитесь к своему персональному техническому менеджеру.

Если лицензионный ключ не будет установлен, активируется бесплатная лицензия Community Edition. В этом режиме обрабатывается не более 250 событий в секунду, может быть загружено максимум 1 000 000 записей из всех источников информации об угрозах, а некоторые функции будут недоступны.

Демонстрационные потоки данных «Лаборатории Касперского» используются по умолчанию и обеспечивают низкий уровень обнаружения по сравнению с коммерческой версией. Чтобы получить доступ к коммерческой версии потоков данных об угрозах, создайте запрос в «Лабораторию Касперского».

Потоки данных об угрозах могут поддерживаться SIEM-системой с использованием встроенных возможностей без Kaspersky CyberTrace. Это означает, что сопоставление входящих событий с потоками данных будет выполняться внутри SIEM-системы, но в этом случае производительность системы может снизиться.

Подробную информацию о функциях и улучшениях в каждой версии Kaspersky CyberTrace смотрите в справке.